我正在努力为不同的小兵提供不同的安全级别。我已经有了不同的支柱,所以从另一个人身上看不到一个小伙子的秘密ssh密钥。
我想要达到的目标是:一个易于攻击的小伙子,比如由其他人运行的边缘云服务器,无法下载甚至看到我在高安全性上安装的文件根中的软件包我自己的数据中心的小人物。
除了多个环境中存在的重载文件名之外,Salt文件服务器似乎将为每个minion提供每个文件。
这似乎不可能以任何方式使用环境,支柱或聪明的文件根包含来使特定的小兵无法访问某些文件?
答案 0 :(得分:2)
按照设计,salt文件服务器将为每个minion提供每个文件。
你可以采取一些措施来解决这个问题。
使用辛迪加。一个仆从只能看到它直接连接到的主人的file_roots,所以你可以让你的easy-to-attack仆从连接到一个特定的联合体,但是你仍然可以从顶级勋章控制它们你的其他仆从直接连接到。